Auditor

1
Auditoría de sistemas

• Unidad VII
• Seguridad en el área de operaciones

2
Introducción

• En este trabajo se pretenden cuidar los criterios
  de la auditoría relacionados con la seguridad en
  el área de operaciones, para tener un mejor
  control con respecto a la información.
• Se analizarán cuidadosamente los medios por los
  cuales los datos pueden sufrir daños
  perjudiciales, así como las señales de alerta en
  dicha área.

3
Objetivos y Criterios de seguridad

• Es de vital importancia llevar un control de
  acceso a los recursos de cómputo así como prever
  la seguridad física de los recursos de cómputo,
  para protegerlos contra cualquier uso no
  autorizado, el daño la pérdida o las
  modificaciones.
• Para esto se deben asignar las responsabilidades
  para el control de acceso y seguridad en el área
  de operaciones.
• Cuando sea necesario se debe nombrar un gerente
  de seguridad que informe a la gerencia general.

4
Objetivos y Criterios de seguridad

• Debería también examinarse la responsabilidad
  para el control de acceso y la seguridad
  operacional, no obstante entrevistar al gerente
  de seguridad en caso de que exista.
• Verificar si su comunicación con los demás
  empleados responsables de seguridad propicia la
  comprensión de las responsabilidades y si estas
  son congruentes con las manifestadas en los
  planes de seguridad de la organización.

5
Objetivos y Criterios de seguridad

• Un punto clave en esta área de operación es la
  restricción de acceso al centro de cómputo sólo a
  personal autorizado, deberían revisarse los
  procedimientos de acceso al centro de cómputo
• De esta forma asegurarse de que existan
  procedimientos que definen las restricciones del
  acceso al centro de cómputo.

6
Objetivos y Criterios de seguridad

• cerciorarse de que los procedimientos están
  vigentes y evitar que las personas no
  autorizadas entren al centro de cómputo.
• Observar, en diferentes ocasiones, si sólo el
  personal autorizado se encuentra en la sala de
  cómputo.

7
Objetivos y Criterios de seguridad

• Se debe acompañar a cualquier persona que no
  sea del área de operaciones de cómputo cuando se
  encuentre en esa área.
• Deberían revisarse los procedimientos
  relacionados con la escolta de personal ajeno al
  centro de cómputo, Revisar los procedimientos
  para identificación continua del personal ajeno
  que se encuentre en las áreas de operación del
  centro de cómputo.

8
Objetivos y Criterios de seguridad

• El control de acceso a las terminales se debe
  programar específicamente las horas de operación
  del acceso a terminales conectadas que están
  manejando información confidencial, para esto se
  debe tomar en cuenta los procedimientos de
  ubicación y uso de las terminales.
• En general, revisar las políticas para la
  ubicación de las terminales y de aquellas que
  pueden desplegar información confidencial de la
  organización, así como asegurarse de que la
  activación de terminales esté protegida por medio
  de claves de acceso, password, o por técnicas
  similares.

9
Objetivos y Criterios de seguridad

• Otro aspecto a tomar en cuenta en el área de
  operaciones es que se deben registrar los
  accesos de la terminal a los datos y se deben
  revisar periódicamente los reportes de actividad
  de las terminales.

10
Objetivos y Criterios de seguridad

• En un medio ambiente de acceso en línea debe
  existir una seguridad de acceso y un control
  basado en la clasificación de la información del
  archivo y de las llaves de acceso al software o
  las transacciones.
• En el área de operaciones es común el que se
  efectúen prácticas adecuadas de seguridad tales
  como no identificar la ubicación de las
  instalaciones de sistemas de información,

11
Objetivos y Criterios de seguridad

• Por eso es necesario visitar las instalaciones de
  sistemas de informaciones para asegurarse de la
  naturaleza de la instalación y de que no sea
  identificable fácilmente mediante señales o
  marcas revisando los directorios y otra
  documentación proporcionada por la organización.
• Para asegurarse de que la ubicación de las
  instalaciones del sistema de información no se
  identifica fácilmente.
• Para finalizar es recomendable probar
  periódicamente los planes de seguridad, evaluando
  la efectividad y la calidad de las pruebas de
  seguridad.

12
Señales de alerta en el área de operaciones.

• Más que nada consiste en identificar los
  problemas que pueden presentarse y analizar las
  medidas que conduzcan a su total eliminación
  para ello se tienen que evaluar los riesgos, hay
  que considerar entre otros factores el tipo de
  información almacenada, procesada y transmitida,
  entre otros factores.

13
Señales de alerta en el área de operaciones.

• Visto de otra manera, la auditoría de la
  seguridad consiste en revisar si se han
  considerado las amenazas, o bien evaluarlas si
  es el objetivo.
• Y de todo tipo de errores y negligencias,
  desastres naturales, fallos de instalaciones o
  bien fraudes o delitos, y que puedan traducirse
  en daños a
• personas, datos, programas, redes, instalaciones,
  u otros activos,
• y llegar a suponer un peor servicio a usuarios
  internos y externos.

14
Señales de alerta en el área de operaciones.

• Se debe proteger los archivos de cómputo contra
  accidentes, destrucción y utilización por parte
  del personal no autorizado así como también
  revisarse los mecanismos de protección física
  contra la destrucción o mal uso de los archivos
• Para esto hay que tomar en cuenta lo siguiente
• Cuidar la condición de los archivos mediante un
  muestreo para determinar si han sido mal
  utilizados o maltratados.

15
Señales de alerta en el área de operaciones.

• Confirmar que el acceso físico a la biblioteca
  este completamente restringido.
• Comprobar que los procedimientos especifiquen que
  se quiten los anillos para protección de
  archivos de todas las cintas de la biblioteca.

16
Señales de alerta en el área de operaciones.

• Cabe destacar que los documentos son de
  importancia por lo que también requieren de
  protección privada, confidencial, vigente y
  disponible para respaldo en este punto también
  deberían revisarse las medidas de seguridad
  relacionadas con los documentos y las formas.

17
Señales de alerta en el área de operaciones.

• Se debe capacitar al personal de operaciones del
  centro de cómputo para la aplicación de controles
  y procedimientos de seguridad así como ratificar
  la conciencia del personal de operación en cuanto
  a medidas de seguridad como podrían ser
• verificar que los procedimientos operacionales
  para incendio, inundación y sistemas de alarma
  estén al alcance de todo el personal de
  operaciones.
• asegurase de que el personal de operaciones está
  capacitado adecuadamente para utilizar los
  equipos contra incendio e inundación.

18
Señales de alerta en el área de operaciones.

• Todo esto que se ha comentado, es con la
  finalidad de evaluar los desastres que existen,
  ya que un centro de operaciones está expuesto a
  sufrir cualquier tipo de daños.
• Debemos tomar en cuenta que las medidas deben
  considerarse como inversiones en seguridad,
  aunque en algunos casos los vemos en activos
  contables, ya que nos va a costar un poco de
  dinero invertir y asegurar nuestro centro de
  operaciones pero que a la larga nos vendrá
  beneficiando de diversas formas.

19
Técnicas y herramientas de auditoría

• La protección no ha de basarse sólo en
  dispositivos y medios físicos, sino en formación
  e información adecuada al personal.
• Otro de los riesgos que se han podido asumir de
  forma temporal, por estar en proceso de cambio
  la seguridad no es un tema meramente técnico,
  aunque sean muy técnicas algunas de las medidas
  que haya que implantar.

20
Técnicas y herramientas de auditoría

• Es necesaria la designación de propietarios de
  los activos, sobre todo de los datos y que son
  quienes pueden realizar la clasificación y
  autorizar las reglas de acceso cuando se habla
  de la seguridad estamos hablando de tres
  aspectos
• Confidencialidad
• Integridad
• Disponibilidad.

21
Técnicas y herramientas de auditoría

• Confidencialidad, esto es cuando sólo las
  personas autorizadas pueden conocer los datos o
  la información correspondiente.
• Integridad, consiste en que sólo los usuarios
  autorizados puedan variar (modificar o borrar)
  los datos.
• Disponibilidad, se alcanza si las personas
  autorizadas pueden acceder a tiempo a la
  información a la que estén autorizadas.
• Todo esto ya se hizo mención anteriormente como
  muestra de las anomalías que pueden surgir.

22
Programas de trabajo de auditoría

• Los recursos del área de cómputo se deben
  utilizar de forma efectiva, mediante el
  mantenimiento de un programa de producción, en
  los cuales se debe llevar un control de las
  entradas y salidas, así como los archivos de
  datos en almacenamiento.
• Es por ello que se puede llevar a cabo el
  programa de cargas de trabajo. Esta consiste en
  tener un uso eficiente de los recursos utilizados
  en las instalaciones o el área en cuestión, para
  ello se deben programar todas las tareas a
  realizar en el centro de cómputo o área en
  cuestión.

23
Programas de trabajo de auditoría

• Estos programas o actividades programadas, se
  debe verificar si se han cumplido y si ha sido
  eficiente la solución de dichas actividades.
• Este control puede llevarse a cabo por medio de
  una bitácora de actividades del área, la cual
  puede contener una lista de actividades
  calendarizadas con la fecha y hora de entrada y
  salida , el tiempo que tomo dicha actividad, los
  datos utilizados, entre otros.

24
Programas de trabajo de auditoría

• Se debe llevar un control de todas las demás
  actividades y trabajos realizados a otras áreas,
  dicha lista debe contener si la documentación o
  el trabajo se atiende por orden de prioridad,
  tiempo en que se procesará la información y el
  responsable de procesar la información.
• También se debe examinar el calendario de
  actividades que mantiene el centro de cómputo, en
  cuanto a las actividades y la distribución del
  trabajo en el área de trabajo.

25
Programas de trabajo de auditoría

• Se debe tener en cuenta también si hay
  disponibilidad de equipo en el centro de
  procesamiento y si estos son suficientes para las
  cargas del trabajo que se tenga en el área.
• Además se deben definir las características de
  los trabajos y si se han establecidos las
  prioridades de los trabajos y si se siguen estos
  lineamientos tanto para los trabajos internos
  del área o de otros departamentos, este control
  puede llevarse por medio de una bitácora.
• También se deben evaluar y reportar los servicios
  u actividades que se han realizado y si estos se
  resolvieron de forma óptima.

26
Programas de trabajo de auditoría

• PROGRAMA DE DISTRIBUCIÓN DEL PERSONAL
• Básicamente se refiere a la programación de los
  recursos humanos o sea las personas que
  intervienen en el centro de cómputo, es decir las
  actividades que realizan y si son las adecuadas.
  Es por ello que se debe examinar detalladamente
  el organigrama vigente del centro de cómputo,
  para delimitar las actividades que le confieren a
  cada persona. Se debe determinar si la
  responsabilidad de cada área funcional esta
  asignada a una sola persona o más, ya que esto
  permite delegar responsabilidades al personal.

27
Programas de trabajo de auditoría

• La o las personas responsables del área deben
  realizar un reporte ya sea semanal mensual o
  quincenal, reportando las actividades realizadas
  en el área.
• Esto se realiza para tener un mejor control de
  las actividades realizadas y si se han cumplido
  con los objetivos establecidos, permitiendo
  evaluar el área de trabajo, es decir, si se ha
  podido sacar todo el trabajo de forma óptima y
  eficaz.

28
Programas de trabajo de auditoría

• Se debe mantener actualizado el calendario de
  recursos humanos, lo cual ayudará a reflejar los
  resultados de las cargas de trabajo, licencias,
  vacaciones, comisiones etc.
• También permite verificar si se cumplen con las
  obligaciones de cada persona o departamento en
  nuestro caso el centro de cómputo.

29
Programas de trabajo de auditoría

• CALENDARIO DE MANTENIMIENTO
• Este debe incluir el mantenimiento que se le da a
  los equipos ya sea por el personal que labora en
  el centro de cómputo o empresas o personas
  especializadas.
• El mantenimiento de los equipos debe realizarse
  en periodos de tiempo específicos y siguiendo una
  calendarización en tiempo seis meses, dos meses,
  anual etc.

30
Programas de trabajo de auditoría

• Deben revisarse los contratos de renta o compra
  de equipo, para verificar el vencimiento de
  garantías y así determinar el mantenimiento
  preventivo y la frecuencia con que éste debe
  hacerse.
• Se debe realizar una lista de actividades o
  cargas de trabajo programadas y existentes, esto
  es para no crear conflictos entre el
  mantenimiento del equipo con las cargas de
  trabajo.

31
Programas de trabajo de auditoría

• Confirmar si el calendario de producción del
  personal es flexible para permitir la desconexión
  del equipo para realizar el mantenimiento del
  equipo ya sea preventivo o correctivo.
• Es por ello que es muy importante que no se
  programe el mantenimiento de equipo cuando hay
  grandes cargas de trabajo en el centro de
  cómputo.

32
Fases de la auditoría de seguridad

• Estas fases pueden ser de carácter general e
  incluyen
• Los objetivos, la delimitación y el alcance de la
  auditoría, así como también el tiempo que cubre
  la auditoría
• Un análisis de las fuentes de recopilación de
  información, este no necesariamente debe existir
  como en los casos de auditorias internas
• La comunicación a la entidad, el plan de trabajo
  y los recursos necesarios

33
Fases de la auditoría de seguridad

• Adecuar cuestionarios según las necesidades y en
  algunos casos se necesitará de especialistas para
  realizar auditorías, para ellos se requieren los
  servicios de auditores externos, es decir
  empresas o personas que se dedican a realizar
  auditorias.
• Realización de entrevistas y pruebas
• Informe definitivo de la auditoria, con sus
  respectivas recomendaciones.

34

• Fin